| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2020:usercert [2025/06/05 13:31] – ↷ Seite von de:dfnpki:tcs:usercert nach de:dfnpki:tcs:2020:usercert verschoben Antonio Liu | de:dfnpki:tcs:2020:usercert [2025/06/05 13:33] (aktuell) – ↷ Links angepasst, weil Seiten im Wiki verschoben wurden 193.175.154.19 |
|---|
| **Bitte stellen Sie auf keinen Fall „Testzertifikate“ mit unsinnigen Namen aus. Dies verstößt gegen das TCS CPS, die Policies von Sectigo und die Regeln für S/MIME-Zertifikate , und gefährdet den Dienst. Sie dürfen nur Zertifikate zu identifizierten Personen ausstellen.** | **Bitte stellen Sie auf keinen Fall „Testzertifikate“ mit unsinnigen Namen aus. Dies verstößt gegen das TCS CPS, die Policies von Sectigo und die Regeln für S/MIME-Zertifikate , und gefährdet den Dienst. Sie dürfen nur Zertifikate zu identifizierten Personen ausstellen.** |
| |
| Diese Zertifikate können über die folgenden Antragswege ausgestellt werden: [[de:dfnpki:tcs:usercert#ueber_die_aai|Über die AAI (''idp/clientgeant'']], [[de:dfnpki:tcs:usercert#E-Mail-Einladung|E-Mail-Einladung]] oder [[de:dfnpki:tcs:restapi|REST-API]] ausgestellt werden. | Diese Zertifikate können über die folgenden Antragswege ausgestellt werden: [[de:dfnpki:tcs:2020:usercert#ueber_die_aai|Über die AAI (''idp/clientgeant'']], [[de:dfnpki:tcs:2020:usercert#E-Mail-Einladung|E-Mail-Einladung]] oder [[de:dfnpki:tcs:2020:restapi|REST-API]] ausgestellt werden. |
| |
| ==Anforderungen an Identifizierung== | ==Anforderungen an Identifizierung== |
| Es gibt von Sectigo derzeit keine konkreten zusätzlichen Verfahrensanweisungen, um einen Validation Type 'HIGH' zu setzen. | Es gibt von Sectigo derzeit keine konkreten zusätzlichen Verfahrensanweisungen, um einen Validation Type 'HIGH' zu setzen. |
| |
| Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. | Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu [[de:dfnpki:tcs:2020:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. |
| |
| ===GÉANT Organisation email signing=== | ===GÉANT Organisation email signing=== |
| Entgegen dem Profilnamen ist auch E-Mail Verschlüsselung möglich. | Entgegen dem Profilnamen ist auch E-Mail Verschlüsselung möglich. |
| |
| Diese Zertifikate können ausschließlich über [[de:dfnpki:tcs:usercert#E-Mail-Einladung|E-Mail-Einladung]] oder [[de:dfnpki:tcs:restapi|REST-API]] ausgestellt werden. In ''idp/clientgeant'' steht dieser Typ nicht zur Verfügung. | Diese Zertifikate können ausschließlich über [[de:dfnpki:tcs:2020:usercert#E-Mail-Einladung|E-Mail-Einladung]] oder [[de:dfnpki:tcs:2020:restapi|REST-API]] ausgestellt werden. In ''idp/clientgeant'' steht dieser Typ nicht zur Verfügung. |
| ====IGTF / Grid-Computing==== | ====IGTF / Grid-Computing==== |
| |
| * Zunächst die Felder ''First Name'', ''Last Name'' und ''Email Address'' ausfüllen | * Zunächst die Felder ''First Name'', ''Last Name'' und ''Email Address'' ausfüllen |
| * Im folgenden Dialog den ''Common Name'' setzen | * Im folgenden Dialog den ''Common Name'' setzen |
| * Wenn die Person Zertifikate vom Typ ''GÉANT Personal email signing and encryption'' erhalten soll (inklusive vorname/Nachname im Zertifikat), so muss der Validation Type auf ''HIGH'' gesetzt werden. Voraussetzung ist, dass in Ihrer Einrichtung eine Identifizierung der Person stattgefunden hat, siehe hierzu auch [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]] | * Wenn die Person Zertifikate vom Typ ''GÉANT Personal email signing and encryption'' erhalten soll (inklusive vorname/Nachname im Zertifikat), so muss der Validation Type auf ''HIGH'' gesetzt werden. Voraussetzung ist, dass in Ihrer Einrichtung eine Identifizierung der Person stattgefunden hat, siehe hierzu auch [[de:dfnpki:tcs:2020:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]] |
| |
| * Mit dem Upload-Symbol neben dem "+"-Button kann eine CSV-Datei (//Zeichenkodierung UTF-8//) hochgeladen werden. Mit der CSV-Datei können mehrere Personen auf einmal angelegt werden. Das CSV-Format ist in der SCM-Dokumentation in Abschnitt B.3 beschrieben. Die grundsätzliche minimale Struktur ist: | * Mit dem Upload-Symbol neben dem "+"-Button kann eine CSV-Datei (//Zeichenkodierung UTF-8//) hochgeladen werden. Mit der CSV-Datei können mehrere Personen auf einmal angelegt werden. Das CSV-Format ist in der SCM-Dokumentation in Abschnitt B.3 beschrieben. Die grundsätzliche minimale Struktur ist: |
| | |
| |
| Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie Personen anlegen: [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. | Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie Personen anlegen: [[de:dfnpki:tcs:2020:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. |
| |
| |
| Hinweise zur [[de:dfnpki:tcs:usercert#auswahl_des_key_protection_algorithms_in_formularen_fuer_p12-dateien|Auswahl und Problematik des Verschlüsselungsalgorithmus]] durch die beantragende Person für ggf. über das Zertifikatantragsformular erzeugte .p12-Dateien (PKCS#12). | Hinweise zur [[de:dfnpki:tcs:2020:usercert#auswahl_des_key_protection_algorithms_in_formularen_fuer_p12-dateien|Auswahl und Problematik des Verschlüsselungsalgorithmus]] durch die beantragende Person für ggf. über das Zertifikatantragsformular erzeugte .p12-Dateien (PKCS#12). |
| |
| ==Erneuerung== | ==Erneuerung== |
| * Ihr Identity-Provider muss alle Attribute wie in folgender Beschreibung von GÉANT freigeben: [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-TouseSAMLinordertoallowuserstoorderclientcertificates:]] | * Ihr Identity-Provider muss alle Attribute wie in folgender Beschreibung von GÉANT freigeben: [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-TouseSAMLinordertoallowuserstoorderclientcertificates:]] |
| * Ein Konfigurationsbeispiel für Ihren Identity-Provider finden Sie unter: [[de:shibidp:config-attributes-tcs?s[]=cert&s[]=manager]] | * Ein Konfigurationsbeispiel für Ihren Identity-Provider finden Sie unter: [[de:shibidp:config-attributes-tcs?s[]=cert&s[]=manager]] |
| * Insbesondere muss ein eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user'' gesetzt werden. Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement setzen: [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. | * Insbesondere muss ein eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user'' gesetzt werden. Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement setzen: [[de:dfnpki:tcs:2020:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. |
| * Die Fehlermeldung ''You are not allowed to self enroll.'' ist ein Symptom für ein nicht übertragenes eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user''. Der [[de:dfnpki:tcs:zugriffperaai#tests|SSOCheck]] gibt Auskunft, welche Attribute tatsächlich an TCS übertragen werden. | * Die Fehlermeldung ''You are not allowed to self enroll.'' ist ein Symptom für ein nicht übertragenes eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user''. Der [[de:dfnpki:tcs:2020:zugriffperaai#tests|SSOCheck]] gibt Auskunft, welche Attribute tatsächlich an TCS übertragen werden. |
| |
| Für die Schlüsselerzeugung im AAI-Workflow gibt es in dem angebotenen Formular eine Wahlmöglichkeit: | Für die Schlüsselerzeugung im AAI-Workflow gibt es in dem angebotenen Formular eine Wahlmöglichkeit: |
| Der korrekte Weg zu Client Certificates mit der AAI ist über https://cert-manager.com/customer/DFN/idp/clientgeant | Der korrekte Weg zu Client Certificates mit der AAI ist über https://cert-manager.com/customer/DFN/idp/clientgeant |
| |
| Hinweise zur [[de:dfnpki:tcs:usercert#auswahl_des_key_protection_algorithms_in_formularen_fuer_p12-dateien|Auswahl und Problematik des Verschlüsselungsalgorithmus]] durch die beantragende Person für ggf. über das Zertifikatantragsformular erzeugte .p12-Dateien (PKCS#12). | Hinweise zur [[de:dfnpki:tcs:2020:usercert#auswahl_des_key_protection_algorithms_in_formularen_fuer_p12-dateien|Auswahl und Problematik des Verschlüsselungsalgorithmus]] durch die beantragende Person für ggf. über das Zertifikatantragsformular erzeugte .p12-Dateien (PKCS#12). |
| |
| ==Erneuerung== | ==Erneuerung== |
| ====REST-API für Client-Zertifikate==== | ====REST-API für Client-Zertifikate==== |
| |
| Über das REST API können mit selbst erstellter Software oder Skripten Client-Zertifikate erstellt werden. Hinweise hierzu unter [[de:dfnpki:tcs:restapi|REST-API]] | Über das REST API können mit selbst erstellter Software oder Skripten Client-Zertifikate erstellt werden. Hinweise hierzu unter [[de:dfnpki:tcs:2020:restapi|REST-API]] |
| |
| Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. | Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. |
| in TCS mit Zertifkaten vom Typ ''GEANT Organisation email signing'' abgebildet werden. Es muss folgendermaßen vorgegangen werden: | in TCS mit Zertifkaten vom Typ ''GEANT Organisation email signing'' abgebildet werden. Es muss folgendermaßen vorgegangen werden: |
| |
| Zunächst die [[de:dfnpki:tcs:usercert#e-mail-einladung|User-Zertifikatbeantragung mittels E-Mail-Einladung]] vorbereiten, dabei als Zertifikatprofil ''GEANT Organisation email signing'' setzen. Dann | Zunächst die [[de:dfnpki:tcs:2020:usercert#e-mail-einladung|User-Zertifikatbeantragung mittels E-Mail-Einladung]] vorbereiten, dabei als Zertifikatprofil ''GEANT Organisation email signing'' setzen. Dann |
| |
| * ☰->Persons, grünen "+"-Button betätigen | * ☰->Persons, grünen "+"-Button betätigen |
| * Im neuen Dialog Reiter "Enrollment Invitations" anwählen | * Im neuen Dialog Reiter "Enrollment Invitations" anwählen |
| * Dort hinter "Invitations" das "+"-Symbol betätigen | * Dort hinter "Invitations" das "+"-Symbol betätigen |
| * Das gewünschte ''Enrollment Form auswählen'', das im ersten Schritt angelegt wurde ([[de:dfnpki:tcs:usercert#e-mail-einladung|User-Zertifikatbeantragung mittels E-Mail-Einladung]]). | * Das gewünschte ''Enrollment Form auswählen'', das im ersten Schritt angelegt wurde ([[de:dfnpki:tcs:2020:usercert#e-mail-einladung|User-Zertifikatbeantragung mittels E-Mail-Einladung]]). |
| * Dann den im ersten Schritt vorbereiteten ''Account'' auswählen. | * Dann den im ersten Schritt vorbereiteten ''Account'' auswählen. |
| * An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. | * An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. |